Hallo! Ich habe folgendes Problem:

Ich habe auf meinem System eine Bridge am Start:

bridge name	bridge id		STP enabled	interfaces
br0		8000.bcaec5039f14	yes		eth0
							vnet1

vnet1 ist das Interface von einer virtuellen KVM-Maschine. Was ich erreichen will ist, dass jeder Traffic, der auf meinem Wirtrechner an eth0 anliegt, an die VM weitergereicht wird. Mit "jeder Traffic" meine ich aber auch den Traffic, der für den Wirt selber bestimmt ist. Leider filtert das die Bridge immer raus. Gibs da ne Möglichkeit?

Eine Bridge funktioniert wie ein Switch, daher leitet diese Standardmäßig auch nur den Traffic an das Interface weiter für das es bestimmt ist, Broadcasts natürlich ausgenommen. Aber erzähle mehr von deinem Problem das du lösen möchtest.

mfg Betz Stefan

Hmmm, also soweit ich weiß ist doch gerade DAS der Unterschied zwischen einer Bridge und einem Switch: Ein Switch leitet Traffic selektiv nur an das Interface weiter, für das es bestimmt ist, wohingegen eine Bridge ganz dumm jeden reinkommenden Traffic auf jedem Port "wiederholt". Mein Problem ist eigentlich kein Problem: Ich will einfach einen Paketsniffer in einer VM laufen lassen, der alles das "sieht", was am physikalischen Interface des Wirtsrechners vorbeikommt.

Du verwechselst da gerade eine Hardwarebridge/-hub mit einer dem Interface Bridge. Traffic wird nur weitergeleitet, der auch an die dafür hinter der Bridge gelegenen IP-Adressen adressiert ist. Ergo ein Switch.

Für einen Paketsniffer in der VM wirst du wohl mit iptables arbeiten müssen.

Da hast du wohl wirklich was verwechselt, eine Bridge und ein Switch machen genau das gleiche.

mfg Betz Stefan

jepp sorry bin da durcheinander gewesen mit iptables und/oder ebtables hab ichs leider nicht hinbekommen dafür gibt's ne ganz einfache möglichkeit, wie man eine linux-bridge in einen hub verwandelt:

brctl setageing br0 0

Aber wie man's mit iptables/ebtables hinkriegen könnte würde mich unabhängig davon trotzdem mal interessieren (wenn das wirklich geht)

mist, merke gerade, dass ich jetzt immer noch keinen lokalen traffic geforwardet bekomme die option bewirkt leider nur, dass ausgehender traffic auf alle ports gelegt wird also problem immer noch nicht gelöst...

du hast dich wirklich ein wenig verlaufen. IPTables arbeitet wie der name schon vermuten lässt auf IP-Basis. Das ist Layer3. Eine Bridge/Switch arbeitet auf Layer 2 MAC. Flapsik forumliert: Eine Bridge leitet Traffic weiter bevor sie iptables zu Gesicht bekommt.

Du solltest mal beschreiben was du eigentlich erreichen willst. Brauchst du einen Router der deinen Lokalen Traffic ins Internet leiten soll oder brauchst du einen Switch der zwei physikalisch getrennte Netzwerk zu einem verbinden soll.

PS: Die Unterscheidung Switch/Bridge kommt aus einer Zeit wo man noch "ge-Hubte" Broadcast-Domains gegeneinander trennen musste bzw sogar von COAX auf 10BaseT wechseln musste. Bridges sind älter und Switches (früher MultiPort-Bridges) waren einfach zu teuer... Heute spielt die Unterscheidung keine Rolle mehr.

ja, das mit iptables hatte ich ja eigentlich nur gesagt, weil TheDarkRose das meinte, deswegen hab ich ja später ebtables ins gespräch gebracht, weil ich mir nämlich auch gedacht hab, damit wird schon eher n schuh draus aber ich glaub es geht auch damit nicht, also scheint ne grundsätzliche sache zu sein so wie ich das sehe, kann man eine bridge dazu bringen, sich *fast* wie ein hardware-hub zu verhalten, mit der klitzekleinen ausnahme, dass sämtlicher für die bridge bestimmter traffic nunmal nicht weitergeleitet wird

sancho1980 schrieb:

…sich *fast* wie ein hardware-hub zu verhalten…

Das widerspricht aber dem Prinzip

mfg Betz Stefan

Keine Bridge verwenden, sondern mit IPTABLES alles auf venet umleiten.